보안 솔루션 영역별 보안요구사항1

각종 보안 솔루션에 요구되는 보안요건을 정리해 보고자 합니다.

본 요건은 하나의 예시일 뿐이고 실제 구축 또는 운영환경에 따라 커스터마이징이 필요하므로 하나의 예로 참고만 하시기 바랍니다.(정답이 아닙니다. 그리고 이상하거나 틀린 내용이 있으면 지적해 주세요.) (출처: 나라장터 RFP 검색)

I. 단말 영역(PC)

1. 개인PC보안

 □ 정의

 클라이언트가 웹서비스 접속 시 개인PC보안 프로그램을 통한 해킹/바이러스 등 방지한다.

□ 보안 요건

 O 클라이언트 단말에 개인PC보안 프로그램이 자동 또는 선택적으로 설치되도록 한다.

 

  - 해킹 차단 및 악성코드 방지

  - 클라이언트에 의한 웹화면 캡처 방지

  - 외부 통신 시도 프로그램 감지 및 알림

  - 해킹 의심 프로그램 실행 감시 및 차단

  - 호스트 파일 변조 모니터링을 통한 파밍 차단

  - Black List를 통한 피싱 의심 사이트 모니터링  및 차단

  - 클라이언트가 웹사이트를 이용하고 있는 동안 클라이언트 PC에 의한 바이러스/스파이웨어 등을 탐지하고 치료할 수 있는 기능

2. 키보드 보안

□ 정의

 해킹 등으로부터 클라이언트 PC에서 입력하는 인증서 정보, ID/PW, 주민등록번호 등의 키보드 입력값 보호

□ 보안 요건

 O 클라이언트 단말에 키보드 보안 프로그램이 자동 또는 선택적으로 설치되도록 한다.

  - 키보드 입력 값 암호화하여 전송

  - 백도어/해킹툴에 의한 키 입력값 가로채기 방지

  - 키보드 후킹(Hooking) 프로그램 무력화 기능

  - 상용 키로그 프로그램 무력화 기능

  - 키보드 입력 유출 시 경고 알림 등 기능

 

 O 웹사이트에서 개인정보, 금융정보 등 중요정보를 입력하는 화면에서 가상키패드를 통해 정보를 입력할 수 있도록 하여야 한다.

  - 가상키패드 UI 제공, 메모리 해킹, 키로깅 방지

3. 불건전 게시물 차단

□ 정의

홈페이지 게시물 등록 시 욕설, 음란글 등 불건전 정보 및 개인정보 등록을 차단한다.

□ 보안 요건

 O 클라이언트가 홈페이지 게시물 등록 시 불건전 정보 및 개인정보가 등록되지 않도록 탐지 및 차단을 하여야 한다.

  - 불건전 게시물(욕설, 음란글, 광고 등) 차단

  - 주민등록번호, 이메일, 전화번호 등 개인정보 차단

 O 다양한 패턴 필터링을 지원하고 다양한 문서 파일 포맷에 대한 필터링을 지원하여야 한다.

 O 차단된 게시글은 복원할 수 있어야 한다.

 O 등록된 각 도메인별/서버별/게시판별 환경에 맞는 차단 정책을 설정할 수 있어야 한다.

 O 관리자가 개별적으로 관리할 수 있는 관리자 화면을 제공하여야 한다(차단로그, 통계, 실시간 개인정보 차단 모니터링 등).

 O 시스템 장애 시 웹 서비스 무정지 및 관리자 통보 기능을 지원하여야 한다.

 O 차단 현황에 대한 항목별 차단 통계를 조회할 수 있고, 보고서 생성 및 다운로드 가능하여야 한다.

II. 인증 및 접근통제 영역

1. PKI 툴킷

□ 정의

 인증서 발급으로 안전하고 신뢰할 수 있는 신원 확인 기능을 제공한다.

□ 보안 요건

 O 네트워크상에서 자신을 증명하는 디지털 인증서를 발급함으로써 안전하고 신뢰할 수 있는 신원 확인이 이루어져야 한다.

 O PKI 툴킷은 아래 기능이 제공되어야 한다.

  - 전자서명: PKI 인증서로 전자서명을 수행해야 한다.

  - 서명검증: 전자서명을 서명자의 공개키(전자서명 정보)로 변환(복호화)하고, 검증대상 전자문서의 해시값 비교를 통해 서명값의 유효성을 판단해야 한다.

  - 대칭키 암복호화

  - 비대칭기 암복호화

  - 보안세션 형성: 보안세션 요청자의 인증 및 정보 획득을 위해 서버로 전송하기 위한 웹 세션 ID, 세션키, 대칭키 알고리즘 등을 조합한 요청 데이터를 생성하고 이를 전자서명해야 한다.

  - 신원확인: 서버의 개인키를 이용하여 복호화를 수행하고 검증을 위해 별도로 주어진 식별번호(IDN)와 요청 데이터를 통해 신원확인을 처리해야 한다.

  - 웹구간 암호화: 외부 사용자와 내부 사용자를 구분하여 웹구간 암호화를 적용하여야 한다.

 O PKI 툴킷은 통합인증(SSO)와 연계하여 통합 인증을 지원할 수 있어야 한다.

 O 외부기관 정보 연계 시 다양한 연계 방안(Webservice, EDI, FTP 등)을 지원할 수 있어야 한다.

 

2. 통합인증(SSO)

□ 정의

 로그인 한번으로 전체 시스템을 사용할 수 있도록 통합인증(SSO) 체계를 구축한다.

□ 보안 요건

 O 로그인 한번으로 전체 시스템을 사용할 수 있도록 통합인증(SSO) 체계를 구현하여야 한다.

 O SSO는 아래 기능을 제공하여야 한다.

  - 인증: SSO는 ID/PW 및 PKI 인증을 지원

  - 인가: 사용자/관리자 인가로 구분하여 적합한 접근통제가 이루어져야 함

  - 감사: 보안 이벤트에 대하여 로그가 DB 또는 파일로 기록

  - 통신: 암호화 기술을 사용하여 통합인증에 사용되는 인증토큰(SSOToken)을 외부의 침입(도청, 위조, 변조)으로부터 보호

  - 관리: 인증/인가정책 관리, 사용자그룹 관리, 감사관리 등 제공

 O SSO는 권한관리시스템과 연계하여 사용자 권한설정을 지원해야 한다.

 O SSO는 내부 사용자 SSO와 외부 사용자 SSO를 구분하여 구축하여야 한다.

 O 신규 SSO는 기존 SSO의 사용자 정보를 이용하여 사용자에 대한 통합 인증을 수행할 수 있어야 한다.

 O 사용자 인증정보는 암호화 통신을 해야 하며 국제 표준 및 국가기관용 암호 알고리즘을 지원해야 한다.

개인정보보호 컨설팅 및 정보보호 분석/설계 전문 회사 - 케이핌(www.kpim.co.kr)